見出し画像

セキュリティが守るもの

【ITすきま教室】渡辺さき

#まえおき

世界中と繋がっているインターネット。

いざ「セキュリティ被害」に合ってみないと、なかなか現実味を帯びない分野ですが、それでは遅いので、「脅威の種類」と「その対策」について学びましょう!

#守るものを知ろう

インターネットセキュリティにおいて守るものは何でしょうか。

「個人情報保護法」で定義されている内容は下記です。

氏名/住所/勤務先/家族構成/音声(声紋)/指紋 など…

個人情報保護の体制が整備されている企業を認定するものが「プライバシーマーク」制度です。

プライバシーマーク

#セキュリティマネジメントの3要素

個人情報など、大切な情報のセキュリティマネジメントの上で、大切な観点が下記の3つです。(※ざっくりメモ)

気密性完全性可用性

情報セキュリティはしっかりと守りたいものの

がちがちに守ってしまうと、同時に本来使いたいユーザーにとっても使いづらいシステムとなってしまいます。

これを避けるための「考え方」を「セキュリティマネジメントの3要素」といい、

情報セキュリティマネジメントシステム
ISMS(Information Security Management System)

にて定義されています!

#情報セキュリティポリシー

情報セキュリティポリシーとは、企業が「どんなふうにセキュリティを守るか」を経営者レイヤーから運用者レベルにまで落とし込む、主に  #社内文書  のことです。

[ピラミッド図]

・基本方針
 ・意味:組織全体での理念や指針。主に経営者レイヤーが定める。
 ・例:社内向けサーバーのセキュリティは、内部の適切な人のみが情報にアクセス出来る状態とする。
・対策基準
 ・意味:基本方針を実現するための規則。
 ・例:「基本方針」を実現するために、社員には”アクセス権限”を付ける。
・実施手順
 ・意味:対象者や運用手続きの明確化。運用者(現場レイヤー)への細則。
 ・例:アクセス権限は、社員の役職単位でメールアドレスに対して付与する手続きをおこなう。

実際のITパスポートの試験では、セキュリティポリシのうち「対策基準」に該当するものはどれですか?等と問われるため
具体例とセットで覚えておきましょう◎

#ユーザー認証 (本人・情報を守る方法)

情報セキュリティを守る最もオーソドックスな手法は「ID / PASS」による
ログイン認証です。
みなさんも、TwitterやInstagram等のSNSで、自分の大切なアカウントを自分で管理できるように、IDとパスワードによる管理はすでにおこなっているとおもいます。

・バイオメトリクス認証
指紋や声紋など、身体的特徴をつかって個人を識別する認証方法。

・ワンタイムパスワード
一時的に発行されるパスワードを利用してログインする。
「トークン」と呼ばれるワンタイムパスワード専用端末を利用することが多い。
(最近ではメールアドレスに即時ワンタイムパスワードが送られてくることも)

・コールバック
電話で通信先を呼び出した後、一度接続を切断し、相手側からの発信を求めることで実在する電話番号であることを確認するアクセス権の確認方法。

・アクセス権限の設定
主に会社内で「許可された人」だけが管理できる文書を扱うときに利用する。閲覧権限・編集権限を人単位で付与する等、権限を段階的に設定することで情報管理をおこないます。

#避けたい脅威 (不正アクセスの方法)

・ソーシャルエンジニアリング
情報資産を扱っているのが「人」であることの隙を突き、
 ・ログイン時、肩越しにパスワードの中身を盗み見する(ショルダーハッキング)
 ・ゴミ箱を漁って有用情報を盗み出す(スキャビンジング)
 ・担当者を騙して、パスワードを盗み聞き出す

・パスワード リスト攻撃
あるサイトから入手したID・PASSのリストを用いて、他サイトへのログインを試みる攻撃手法。

・ブルートフォース攻撃 / リバースブルートフォース攻撃
実在するIDを特定し、パスワードとして使える文字の組み合わせを片っ端からすべて試す方法。 / この逆で、パスワードを固定してIDとして使える文字の組み合わせを片っ端からすべて試す方法。

・SQLインジェクション
ログイン操作時にSQLの構造・脆弱性を狙って、データベースに対する命令文の改ざんをおこない、不正にID / PASS を一致させ、ログインを試みる手法。

・クロスサイト スクリプティング
ユーザが悪意あるWebサイトを閲覧したとき、悪意あるSCRIPTが効果を発揮し、ID / PASSを不正に取得する仕組み。

#ウイルスの脅威と対策

・マルウェア
 ・ウイルス
プログラムやソフトウェアに寄生しコンピューターに入り込んで悪さをするプログラム。
 (ランサムウェア)…「解除して欲しかったら、お金を払え!」というウィルスの特性を付いた被害を与える。
「ランサム」とは、身代金のこと。
 ・ワーム…自己増殖し、ウィルスのように寄生せず、単独で存在。情報盗難、端末を遠隔操作する。
 【経路】ネットワークを介しIPアドレスをランダム生成。メール、共有ドライブ、USBなど
 ・トロイの木馬…自己増殖せず、ソフトウェア単体で存在。見かけ上は良いソフトとして振る舞い、感染先に長く滞在し情報取得することを重視。

・ウイルス対策
 ・ウイルス対策ソフトをインストールし、常に最新版を保つ
 ・不用意にインターネットからファイルダウンロードをしない(メール経由でも同じ)
 ・ハードディスク内を定期的にウイルスチェックすうる

いいなと思ったら応援しよう!